Hallo,

Mein Problem ist folgendes: Immer wenn ich bei Google etc. etwas suche, und dann eine Seite anklicke komme ich beim ersten mal auf ebay etc, und erst beim zweiten versuch auf die eigentlich angeklickte Seite. Ich habe in anderen Foren zwar von diesem Problem gelesen, aber da die Lösungsvorschlage immer andere waren, war ich verunsichert was ich tun soll.

Ich habe es mit SpyBot versucht (ging nur in der offline Version...wurde sonst "blockiert"). Auch Fixwareout habe ich schon versucht, aber leider ohne Erfolg

Hier nun mein HijackThis Protokoll.

Ich hoffe Sie können mir helfen. Jetzt schon mal VIELEN DANK!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:38:03, on 20.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDBCBDAB-1E9B-4F16-9EEE-51CF6EBEEC3C}: NameServer = 85.255.116.56 85.255.112.235
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf\xcontrolcom.exe

--
End of file - 6044 bytes

Hallo und

Um es kurz zu machen du hast ne Rufumleitung und keine volle Gewalt über deinen Rechner.

HTML-Code:

O17 - HKLM\System\CCS\Services\Tcpip\..\{EDBCBDAB-1E9B-4F16-9EEE-51CF6EBEEC3C}: NameServer = 85.255.116.56 85.255.112.235

Die Nummer lässt sich in die Ukraine zurückführen...und ich glaube nicht, dass du bei einem ukrainischen Anbieter bist der in Odessa sitzt?^^

Hier der genaue Auszug von Whois:

Code: Alles auswählenAufklappen

ATTFilter

(Asked whois.ripe.net:43 about 85.255.112.235)

 inetnum:        85.255.112.0 - 85.255.127.255 
 netname:        UkrTeleGroup 
 descr:          UkrTeleGroup Ltd. 
 admin-c:         UA481-RIPE 
 tech-c:          UA481-RIPE 
 country:        UA 
 org:             ORG-UL25-RIPE 
 status:         ASSIGNED PI 
 mnt-by:          RIPE-NCC-HM-PI-MNT 
 mnt-lower:       RIPE-NCC-HM-PI-MNT 
 mnt-by:          UKRTELE-MNT 
 mnt-routes:      UKRTELE-MNT 
 mnt-domains:     UKRTELE-MNT 
 source:         RIPE  Filtered 
 organisation:   ORG-UL25-RIPE 
 org-name:       UkrTeleGroup Ltd. 
 org-type:       LIR 
 address:        UkrTeleGroup Ltd. 
                 Mechnikova 58/5 
                 65029 Odessa 
                 Ukraine 
 phone:          380487311011 
 fax-no:         380487502499 
 mnt-ref:         UKRTELE-MNT 
 mnt-ref:         RIPE-NCC-HM-MNT 
 mnt-by:          RIPE-NCC-HM-MNT 
 source:         RIPE  Filtered 
 person:         Andrew Sotov 
 address:        Mechnikova 58/5 65029 Odessa 
 abuse-mailbox:  abuse@ukrtelegroup.com.ua
 
 phone:          380631508855 
 nic-hdl:         UA481-RIPE 
 source:         RIPE  Filtered
         

Das ist hier ein sehr bekanntes Problem mit der Rufumleitung, ca. jeder 10 hat das, also einen DNS-Changer.

Das Sicherste ist es deinen Rechner Neuaufzusetzten!
Bei einer Bereinigung kann man nicht 100% sicher gehen.

Vorher ist folgendes zu beachten:
Bitte KEIN OnlineBanking, kein eBay und Amazon mehr durchführen.
Bei Auffälligkeiten in deinen Kontobewegungen bitte das Konto sperren lassen.

Bitte von einem sauberen Rechner aus deine Passwörter und Userdaten von Accounts ändern. Wer weiß wie lange der sich schon da rumturmelt.

http://www.trojaner-board.de/51262-a...sicherung.html
Warum: Homepage von Malte J. Wetz
Für hinterher:
http://www.trojaner-board.de/54192-a...tellungen.html
http://www.trojaner-board.de/74052-s...-internet.html

Vielen Dank für die schnelle hilfe. Reicht es den Rechner einfach zu formatieren, oder muss ich was spezielles beachten?

ein Neuaufsetzen reicht, da man bevor man windows installiert auch gleich noch die platte formatiert!
--> für eine anleitung ainfach auf "neuaufsetzen" klicken

Folge der Anleitung in meinem Link...ist mit Bildern
Es hilft vllt. vorher die Bilder auszudrucken, oder sie von einem anderen Rechner aus zubetrachten...